Sulmet kibernetike ndaj Ukrainës, Google gjurmon grupet e hakerave dhe fushatat e tyre
Nga mesi i muajit Prill deri në mesin e muajit Qershor, grupi u pa të lançonte fushata hakimi e-maili duke vënë në shënjestër organizata në Ukrainë me maluerë si IcedID dhe Cobalt Strike, shkruan PC World.
Në pesë muajt e fundit Google tha se ka gjurmuar aktorë të motivuar financiarisht njohur si UAC-0098 grup i cili ka realizuar disa fushata sulmesh ndaj entiteteve të ndryshme në Ukrainë dhe Evropë.
Aktivitetet e grupit janë të lidhura ngushtë me qeverinë Ruse dhe Qendra e Analizës së Kërcënimeve të Google beson sete paktën disa anëtarë të UAC-0098 kanë qenë pjesë e bandës së ransomware Conti.
UAC-0098 njihet për përdorimin e trojanit bankar IcedID në sulme të cilat çojnë në instalimin e ransomwarëve dhe operon si broker aksesi për grupe ransomware si Quantum dhe Conti.
Kohët e fundit besohet se ky grup ka vënë në shënjestër qeverinë Ukrainase, disa organizata në këtë vend dhe organizata humanitare dhe jofitimprurëse në Evropë.
Në fund të muajit Prill UAC-0098 lançoi disa fushata phishing përmes AnchorMail, një variant i backdoor Anchor zhvilluar nga grupi Conti dhe në të kaluarën ishte instaluar si modul i Trickbot.
Sulmet duken të motivuara financiarisht por edhe politikisht kjo sepse LackeyBuilder dhe scripte të ngjashme janë përdorur për ndëtimin e AnchorMail sa më parë.
Nga mesi i muajit Prill deri në mesin e muajit Qershor, grupi u pa të lançonte fushata hakimi e-maili duke vënë në shënjestër organizata në Ukrainë me maluerë si IcedID dhe Cobalt Strike.
Në një fushatë të tillë në muajin Maj, sulmuesit dërguan e-maile phishing duke u paraqitur si Policia e Sigurisë Kibernetike e Ukrainës, ndërsa në një rast tjetër përdoren një llogari të kompromentuar nga një hotel në Indi. E njëjta llogari e-maili u përdor për të sulmuar organizata në Itali përmes maluerit IcedID.
Po në Maj UAC-0098 dërgoi e-maile phishing duke u paraqitur si përfaqësues të Elon Musk dhe Starlink. Disa prej këtyre e-maileve vunë në shënjestër qeverinë Ukrainase, organizata dhe distributorë të teknologjisë në vend.
Në fund të të njëjtit muaj, aktorët sulmuan Akademinë e Shtypit të Ukrainës me e-maile phishing që dërgonin një dokument me maluerë në Dropbox dhe instalonte dll e Cobalt Strike.
Në Qershor UAC-0098 shfrytëzoi problemin e sigurisë së Windows CVE-2022-30190. Google tha se fushata spam dërgoi mëse 10 mijë e-maile që dukej sikur vinin nga autoritetet financiare Ukrainase dhe përmbanin maluerin Cobalt Strike.
“Aktivitetet e UAC-0098 janë një tregues i turbullimit të vijave ndarëse mes grupeve të motivuara financiarisht dhe atyre që mbështetet nga qeveritë e vendeve të huaja në Evropën Lindore, duke ilustruar një trend kërcënimesh me objektiva të mbështetura në interesa gjeopolitike rajonale,” tha Google.
